Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Diffie-Hellman (CVE-2024-41996)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
26/08/2024
Última modificación:
26/08/2024

Descripción

Validar el orden de las claves públicas en el Protocolo de acuerdo de claves Diffie-Hellman, cuando se utiliza un valor primario seguro aprobado, permite a atacantes remotos (desde el lado del cliente) activar cálculos de exponenciación modular DHE del lado del servidor innecesariamente costosos. El cliente puede provocar un consumo asimétrico de recursos. El escenario de ataque básico es que el cliente debe afirmar que solo puede comunicarse con DHE y el servidor debe configurarse para permitir DHE y validar el orden de la clave pública.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información